Режимът за прехвърляне на данни остава до голяма степен еднакъв, като се увеличава признаването на BCRs (Binding Corporate Rules - Обвързващи корпоративни правила).

Съществуват редица механизми, определени в Директивата, на които може да се разчита, за да се прехвърлят законно личните данни извън EEA (European Economic Area – Европейска икономическа зона). "Системата от налични механизми" според GDPR, е по същество еднаква:

Трансфери до "адекватни" страни!

Европейската комисия е в състояние да определи, че една страна (или конкретен сектор) предлагат подходящо ниво на защита на трансфера на данни. Съдът на Европейските общности изясни, по делото Max Schrems срещу Facebook (което разглеждаше режима „Safe Harbor“ между ЕС и USA), че тестът (проверката) трябва да е "същественият еквивалент", а карбоново (хартиено) копие от закон от ЕС не се изисква да се представя. Адекватният статут на страните, който е бил разрешен, съгласно Директивата, не се променя с GDPR, но ще бъде предмет на преоценка. Тази преоценка ще включва Аржентина, Канада (PIPEDA), САЩ (поверителност за онези организации, които сами удостоверяват), Швейцария, Израел и Нова Зеландия. Япония и Южна Корея са в процес на получаване на статут на адекватност. Предимството на прехвърлянето на лични данни в страна, която е установена, че е "адекватна" е това, че прехвърлянето може да стане, сякаш страната е част от ЕС. След Brexit, изглежда че може да се определи някаква форма на адекватност за прехвърляне на данни към Великобритания.

Трансфери, подлежащи на подходящи гаранции!

BCRs (Binding Corporate Rules-Обвързващи корпоративни правила <основно за международни корпорации). Трансгранични трансфери на данни в рамките на една корпоративна група, според Обвързващите корпоративни правила (BCRs) са били признати от Работната група по член 29 от няколко години, но официално са включени като трансферен механизъм в GDPR. GDPR предоставя един набор от стандарти, приложими за BCRs. На практика има два вида BCRs. Правилата за администраторите, описани в BCRs, определят един администратор на данни за прехвърлянето на личните данни на организацията, в рамките на една и съща група от компании. Правилата за обработка, описани в BCRs, се използват за международни трансфери на лични данни, когато първоначално те са били обработени от администратор в страна от EU и които се обработват повторно в организацията на обработващия. Докато някои нови изисквания за BCRs се въвеждат от GDPR, пълния списък на изискванията, които се прилагат за всеки тип BCRs все още е значително по-кратък от подробния, установен от Работната група по член 29. Въпреки това Европейската комисия може да създаде допълнителни изискванията и Европейският съвет за защита на данните (European Data Protection Board) може публикува насоки, препоръки и други допълнителни изисквания. На практика това може да означава, че Европейският съвет за защита на данните ще потвърждава становищата на Работната група по член 29 относно BCRs, с риск от повторно въвеждане на административни изисквания, които са опростени от GDPR. При отсъствие на официално изясняване, компаниите, които възнамеряват да приемат BCRs могат да пожелаят да потърсят съвет от своя ръководен надзорен орган.

Фирмите, които вече имат Обвързващи корпоративни правила (BCRs), трябва да търсят гаранция, че те съответстват на изискванията на GDPR и със сигурност ще трябва да се подготви повторно подаване на заявление за ново одобрение. Досега Обвързващите корпоративни правила (BCRs) са били ограничени до споразумения между предприятия от една и съща корпоративна група. Съгласно GDPR, BCRs могат да бъдат използвани от група предприятия, които са ангажирани в съвместна икономическа дейност, но не са непременно част от същата корпоративна група. GDPR оставя няколко практически отворени въпроса като критерии, които да се използват, за да се определи дали предприятията отговарят на това изискване. Изглежда, поне за дружества от групата, че правилата за избор на водещ орган за потвърждение на BCR, вероятно ще са по-малко гъвкави под новия режим "Обработка в един отдел".

Приети са стандартни договорни клаузи от Европейската Комисията!

Стандартни клаузи, приети от Европейската комисия (Примерни клаузи) са често използван механизъм за узаконяване прехвърлянето на лични данни към трети държави. Те включват стандартни споразумения. Докато тази възможност остава в GDPR, общноста, работеща по защитата на данните, наблюдава внимателно делото, заведено от Max Schrems срещу Facebook в Ирландия, което оспорва този механизъм. Като се има предвид, че са отправени различни въпроси към Съда на ЕС, съществува определен риск използването в известни сценарии на Примерни клаузи, да бъдат обявени за незаконни, както по същия начин Съдът на ЕС обявяви за незаконен режима "Safe Harbor" за прехвърляне на данни за САЩ. Тъй като много компании разчитат на този механизъм, премахването му, дори и при някои прехвърляния, би причинило значителни промени и несигурност.

Стандартни договорни клаузи, одобрени от надзорен орган!

Надзорният орган може също така да одобри стандартни договорни клаузи. Те трябва да бъдат одобрени от Комисията. Добре е прието премахването на необходимостта от предварително разрешение за трансфери, въз основа на одобрени гаранции като например одобрение на стандартно договорни клаузи от Комисията или от DPA (Data Protection Authority). Това изискване беше наложено от някои страни-членки в текстовете на Директивата, но е изрично изключено в GDPR.

Одобрен кодекс за поведение!

GDPR насърчава прилагането на кодекси за поведение, за да се подпомогне прилагането на Регулацията, отчитайки нуждите от различните обработващи сектори и по-малки предприятия. Една от областите, предложена за използване от Кодекса, е прехвърлянето на данни към трети страни, където одобрените правила могат да осигурят подходящи предпазни мерки, изисквани от GDPR. 

Асоциации и други структури, представляващи категории администратори или оператори, могат да изготвят правила. Правилата трябва да включват механизми, които позволяват на сертифициращия орган (одобрен за тази цел от компетентния надзорен орган) да извършва задължителен мониторинг на съответствието (без да се засягат правомощията на компетентните надзорни власти). Правилата трябва да бъдат одобрени от компетентния надзорния орган, който ще ги прегледа дали съдържат достатъчно гаранции. За правилата, отнасящи се до обработващата дейност в повече от една държава-членка, също ще са необходими допълнителни одобрения. Европейският съвет за защита на данните (EDPB) ще публикува всички одобрени правила в отделен регистър.

Сертифициране!

Това е друг възможен начин на действие, ако в него се съдържат задължителни и изпълними отговорности. Докато в GDPR сертифицирането се насърчава, външно изглежда, че печели по-малка подкрепа. То включва полагането на печати или марки от сертифициращ орган, които доказват наличието на подходящи предпазни мерки. Както и при правилата за поведение, администраторите и операторите биха създали задължителни и изпълними задължения за прилагане на подходящи предпазни мерки.

Частична отмяна за специфични ситуации!

В противен случай, прехвърлянето на данни може да се извърши само при ограничени условия като:

Субектът на данни изрично се е съгласил (имайте предвид, че това е изменено от Директивата и субектите на данни трябва да са достатъчно информирани за рисковете от прехвърляне).

Прехвърлянето е необходимо за изпълнението на един договор между субекта на данните и администратора (или да приложи предоговорни мерки, взети по искане на субекта на данни).

Прехвърлянето е необходимо за сключването или изпълнението на договор, в интерес на субекта на данни, между администратора и друго естествено или юридическо лице.

Прехвърлянето е необходимо поради важни причини от обществен интерес, или за установяването, упражняването или защитата на правните искове, или за защитата на жизненоважните интереси на субекта на данни, който не може да даде съгласието си.

Прехвърлянето се извършва от регистър, от който, съгласно законодателството на Съюза или на държавите-членки, е необходимо да се осигури информация за обществото и която е отворена за консултиране от всеки, който има законен интерес (само когато са изпълнени всички условия за консултация).

Неповтарящи се трансфери на основание законни интереси!

Когато не е изпълнено нито едно от посочените по-горе условия, прехвърляне в трета страна или международна организация може да бъде направено само ако:

 не се повтаря;

 засяга само ограничен брой субекти на данни;

 е необходимо за целите на убедителни легитимни интереси, преследвани от администратора (но не са пренебрегнати интересите или правата и свободите на субекта на данни); и

 администраторът е преценил всички обстоятелства и е усигурил подходящи предпазни мерки.

Администраторът, който използва това като основание за прехвърляне, трябва да уведоми надзорния орган. Трябва също така да уведоми и субекта на данните. Този по-рестриктивен подход, всъщност замества самооценката като основа за прехвърляне. Подходът със самооценката в момента се използва като самостоятелна основа само в няколко държави-членки и може би е необходимо да се пожертва, за да се постигне еднородност.

Свързани с горните текстове членове от Регламента:

Член 30 - Регистри на дейностите по обработване

1. Всеки администратор и — когато това е приложимо — представител на администратор, поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:

a) името и координатите за връзка на администратора и — когато това е приложимо — на всички съвместни администратори, на представителя на администратора и на длъжностното лице по защита на данните, ако има такива;

б) целите на обработването;

в) описание на категориите субекти на данни и на категориите лични данни;

г) категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

д) когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

е) когато е възможно, предвидените срокове за изтриване на различните категории данни;

ж) когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

2. Всеки обработващ лични данни и — когато това е приложимо — представителят на обработващия лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:

a) името и координатите за връзка на обработващия или обработващите лични данни и на всеки администратор, от чието име действа обработващият лични данни и — когато това е приложимо —на представителя на администратора или обработващия лични данни и на длъжностното лице по защита на данните;

б) категориите обработване, извършвано от името на всеки администратор;

в) когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

г) когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

3. Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

4. При поискване, администраторът или обработващият лични данни и — когато това е приложимо — представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган. по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 5/18

5. Задълженията, посочени в параграфи 1 и 2, не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни по член 9, параграф 1 или лични данни, свързани с присъди и нарушения, по член 10.

Изложение 82, към Член 30

(82) За да докаже спазването на настоящия регламент, администраторът или обработващият данни следва да поддържа документация за дейностите по обработване, за които той е отговорен. Всеки администратор и обработващ лични данни следва да е длъжен да си сътрудничи с надзорния орган и да му осигури достъп до тази документация при поискване, за да може да бъде използвана за наблюдение на тези операции по обработване.

Член 40 - Кодекси за поведение

1. Държавите членки, надзорните органи, Комитетът и Комисията насърчават изготвянето на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на настоящия регламент, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия.

2. Сдруженията и други структури, представляващи категории администратори или обработващи лични данни, могат да изготвят кодекси за поведение или да изменят или допълват такива кодекси с цел да бъде уточнено прилагането на настоящия регламент, като по отношение на:

a) добросъвестното и прозрачно обработване;

б) законните интереси, преследвани от администраторите в конкретни аспекти;

в) събирането на лични данни;

г) псевдонимизацията на лични данни;

д) информирането на обществеността и на субектите на данни;

е) упражняването на правата на субектите на данни;

ж) информирането и закрилата на децата и начина за получаване на съгласие от носещите родителска отговорност за детето;

з) мерките и процедурите, посочени в членове 24 и 25, и мерките за осигуряване на посочената в член 32 сигурност на обработването;

и) уведомяването на надзорните органи за нарушения на сигурността на личните данни и съобщаването за такива нарушения на сигурността на личните данни на субектите на данни;

й) предаването на лични данни на трети държави или международни организации; или

к) извънсъдебните производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването, без да се засягат правата на субектите на данни съгласно членове 77 и 79.

3. Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, кодекси за поведение, одобрени съгласно параграф 5 от настоящия член и общовалидни съгласно параграф 9 от настоящия член, могат също така да се прилагат към администратори или обработващи лични данни, непопадащи в обхвата на настоящия регламент съгласно член 3, с цел да се осигурят подходящи гаранции в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква д). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

4. Кодексът за поведение, посочен в параграф 2 от настоящия член съдържа механизми, които позволяват на посочения в член 41, параграф 1 орган да извършва задължителното наблюдение на спазването на неговите разпоредби от администраторите или обработващите лични данни, които приемат да го прилагат, без да се засягат задълженията и правомощията на надзорните органи, компетентни по силата на член 55 или 56.

5. Сдруженията и другите структури, посочени в параграф 2 от настоящия член, които възнамеряват да изготвят кодекс за поведение или да изменят или допълнят съществуващ кодекс, представят проекта на кодекс, негово изменение или допълнение на надзорния орган, който е компетентен съгласно член 55 Надзорният орган дава становище дали проектът за кодекс, негово изменение или допълнение съответстват на настоящия регламент и одобрява този проект на кодекс, негово изменение или допълнение, ако установи, че той осигурява достатъчно подходящи гаранции.

6. Когато проектът на кодекс, негово изменение или допълнение е одобрено в съответствие с параграф 5 и когато съответният кодекс за поведение няма отношение към дейности по обработване в няколко държави членки, надзорният орган регистрира и публикува кодекса.

7. Ако проект на кодекс за поведение има отношение към дейности по обработване в няколко държави членки, надзорният орган, който е компетентен съгласно член 55, преди одобряването на проекта на кодекс, негово изменение или допълнение, го представя, по посочената в член 63 процедура, на Комитета, който дава становище дали проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент, или, в случаите, посочени в параграф 3 от настоящия член, осигуряват подходящи гаранции.

8. Ако посоченото в параграф 7 становище потвърди, че проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент или, в случаите, посочени в параграф 3, осигуряват подходящи гаранции, Комитетът представя становището си на Комисията.

9. Комисията може чрез актове за изпълнение да реши дали одобрения кодек за поведение, негово изменение или допълнение, който ѝ е представен по силата на параграф 8 от настоящия член, е общовалиден в рамките на Съюза. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

10. Комисията осигурява подходяща публичност на одобрените кодекси, за които е решено, че са общовалидни в съответствие с параграф 9.

11. Комитетът събира всички одобрени кодекси за поведение, техните изменения и допълнения в регистър и ги прави обществено достъпни чрез всички подходящи средства.

Изложения 98-99, към Член 40

(98) Сдруженията или други структури, представляващи категории администратори или обработващи лични данни, следва да се насърчават да изготвят кодекси за поведение, в рамките на настоящия регламент, за да се улесни ефективното прилагане на настоящия регламент, като се вземат предвид особеностите на обработването на данни в определени сектори и специфичните потребности на микропредприятията и малките и средните предприятия. По- специално в тези кодекси на поведение може да се установят параметрите на задълженията на администраторите и обработващите лични данни, като се вземе предвид рискът, който е вероятно да произтече от обработването на данни за правата и свободите на физическите лица.

(99) Когато се изготвя, изменя или допълва кодекс на поведение, сдруженията и другите структури, представляващи категории администратори или обработващи лични данни, следва да се консултират със съответните заинтересовани страни, включително субектите на данни, когато това е осъществимо, и да вземат под внимание становищата, изразени писмено и устно в рамките на тези консултации. по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 7/18

Член 42 - Сертифициране

1. Държавите членки, надзорните органи, Комитетът по защита на данните и Комисията насърчават, особено на равнището на Съюза, създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните с цел да се демонстрира спазването на настоящия регламент при операциите по обработване от страна на администраторите и обработващите лични данни. Отчитат се конкретните нужди на микропредприятията, на малките и средните предприятия.

2. Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, може да се установяват механизми за сертифициране, печати или маркировки за защита на данните, одобрени съгласно параграф 5 от настоящия член, с цел да се демонстрира наличието на подходящи гаранции, осигурени от администраторите и обработващите лични данни, които не са обект на настоящия регламент съгласно член 3, в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква е). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

3. Сертифицирането е доброволно и е достъпно чрез процедура, която е прозрачна.

4. Сертифицирането по настоящия член не води до намаляване на отговорността на администратора или на обработващия лични данни за спазване на настоящия регламент и не засяга задачите и правомощията на надзорните органи, които са компетентни съгласно член 55 или член 56.

5. Сертифицирането по силата на настоящия член се издава от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, въз основа на критериите, одобрени от компетентния надзорен орган съгласно член 58, параграф 3, или, от Комитета съгласно член 63. Когато критериите са одобрени от Комитета, това може да доведе до единно сертифициране — „Европейски печат за защита на данните“.

6. Администраторът или обработващият лични данни, който подлага своето обработване на механизма за сертифициране, осигурява на сертифициращия орган, посочен в член 43, или ако е приложимо — на компетентния надзорен орган, цялата информация и достъп до своите дейности по обработване, които са необходими за извършване на процедурата по сертифициране.

7. Сертификатът се издава на администратора или обработващия лични данни за максимален срок от три години и може да бъде подновен при същите условия, ако съответните изисквания продължават да са спазени. Сертификатът се оттегля, ако е приложимо, от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, ако изискванията за сертифицирането не са спазени или вече не се спазват.

8. Комитетът обединява всички механизми за сертифициране и всички печати и маркировки за защита на данните в регистър и осигурява публичен достъп до тях по подходящ начин.

Член 43 Сертифициращи органи

1. Без да се засягат задачите и правомощията на компетентния надзорен орган съгласно членове 57 и 58, сертифициращите органи, притежаващи подходящ опит в областта на защитата на данните, след уведомяване на надзорния орган с цел, ако е необходимо, той да може да упражни правомощията си съгласно член 58, параграф 2, буква з), издават и подновяват сертификат.Държавите членки гарантират, че тези сертифициращи органи се акредитират от един или двама от следните органи:

a) надзорния орган, който е компетентен съгласно член 55 или 56;

б) националния орган по акредитация, посочен в съответствие с Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета {Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30)} в съответствие с EN-ISO/IEC 17065/2012 и с допълнителните изисквания, определени от надзорния орган, който е компетентен съгласно член 55 или 56.

2. Сертифициращите органи, посочени в параграф 1, се акредитират в съответствие с посочения параграф само ако:

a) са доказали в задоволителна степен пред компетентния надзорен орган своята независимост и опит във връзка с предмета на сертифицирането;

б) са поели ангажимент да спазват критериите, посочени в член 42, параграф 5, и одобрени от надзорния орган, който е компетентен съгласно член 55 или 56, или, от Комитета съгласно член 63;

в) са установили процедури за издаването, периодичния преглед и отнемането на сертификат, печати и маркировки за защита на данните;

г) са установили процедури и структури за обработване на жалби за нарушения на сертификата или за начина, по който сертификатът е бил приложен или се прилага от администратора или обработващия лични данни, и за прозрачното довеждане на тези процедури и структури до знанието на субектите на данни и обществеността; и

д) демонстрират в задоволителна степен пред компетентния надзорен орган, че задачите и задълженията им не водят до конфликт на интереси.

3. Акредитирането на сертифициращите органи, посочени в параграфи 1 и 2 от настоящия член, се извършва на базата на критериите, одобрени от надзорния орган, който е компетентен съгласно член 55 или 56, или, от Комитета съгласно член 63. В случай на акредитация съгласно параграф 1, буква б) от настоящия член, тези изисквания допълват изискванията, предвидени в Регламент (ЕО) № 765/2008 и техническите правила, които описват методите и процедурите на сертифициращите органи.

4. Сертифициращият органи, посочени в параграф 1 отговарят за правилната оценка, която води до сертифициране или отнемане на издаден сертификат, без да се засяга отговорността на администратора или обработващия лични данни за спазването на настоящия регламент. Акредитацията се издава за максимален срок от пет години и може да бъде подновена при същите условия, ако сертифициращият орган отговаря на изискванията, установени в настоящия член.

5. Сертифициращите органи, посочени в параграф 1 представят на компетентните надзорни органи мотивите за издаване или отнемане на съответния сертификат.

6. Изискванията, посочени в параграф 3 от настоящия член, и критериите, посочени в член 42, параграф 5, се оповестяват от надзорния орган в леснодостъпна форма. Надзорните органи също така информират Комитета относно тези изисквания и критерии. Комитетът обединява всички механизми за сертифициране и всички печати за защита на данните в регистър и осигурява публичен достъп до тях по подходящ начин.

7. Без да се засяга глава VIII, компетентният надзорен орган или националният орган по акредитация анулира акредитация на сертифициращ орган, посочен в параграф 1 от настоящия член, ако не са били спазени или вече не се спазват условията за акредитация, или ако предприетите от сертифициращия орган действия нарушават настоящия регламент.

8. На Комисията се предоставя правомощие да приема делегирани актове в съответствие с член 92 с цел уточняване на изискванията, които трябва да бъдат взети предвид по отношение на механизмите за сертифициране за защита на данните, посочени в член 42, параграф 1.

9. Комисията може чрез актове за изпълнение да определя технически стандарти за механизмите за сертифициране и за печатите и маркировките за защита на данните, както и механизми за насърчаване и признаване на тези механизми и на печатите и маркировките. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Изложение 100, към Членове 42-43

(100) За да се повишат прозрачността и съответствието с настоящия регламент, следва да се насърчава създаването на механизми за сертифициране, както и на печати и маркировки за защита на данните, които позволяват на субектите на данни бързо да оценяват нивото на защита на данните на съответните продукти и услуги.

Член 44 - Общ принцип на предаването на данни

Предаване на лични данни, които се обработват или са предназначени за обработване след предаването на трета държава или на международна организация, се осъществява само при условие че са спазени другите разпоредби на настоящия регламент, само ако администраторът и обработващият лични данни спазват условията по настоящата глава, включително във връзка с последващи предавания на лични данни от третата държава или от международната организация на друга трета държава или на друга международна организация. Всички разпоредби на настоящата глава се прилагат, за да се направи необходимото нивото на защита на физическите лица, осигурено от настоящия регламент, да не се излага на риск.

Изложения 101-102, към Член 44

(101) Потоци от лични данни към и от страни извън Съюза и международни организации са необходими за разширяването на международната търговия и международното сътрудничество. Нарастването на тези потоци породи нови предизвикателства и опасения във връзка със защитата на личните данни. Когато обаче лични данни се предават от Съюза на администратори, обработващи лични данни или други получатели в трети държави или на международни организации, нивото на защита на физическите лица, гарантирано в Съюза с настоящия регламент, не следва да бъде излагано на риск, включително в случаите на последващо предаване на лични данни от третата държава или международната организация на администратори или обработващи лични данни в същата или друга трета държава или международна организация. Във всеки случай предаването на данни на трети държави и международни организации може да се извършва единствено в пълно съответствие с настоящия регламент. Предаването може да се извършва, само ако администраторът или обработващият лични данни изпълняват условията, установени в разпоредбите на настоящия регламент относно предаването на лични данни на трети държави или международни организации, при спазване на другите разпоредби на настоящия регламент.

(102) Настоящият регламент не засяга разпоредбите на международните споразумения, сключени между Съюза и трети държави, с които се урежда предаването на лични данни, включително подходящите гаранции за субектите на данни. Държавите членки могат да сключват международни споразумения, които включват предаването на лични данни на трети държави или международни организации, доколкото тези споразумения не засягат настоящия регламент или други разпоредби на правото на Съюза и доколкото включват подходящо ниво на защита на основните права на субектите на данни.

Член 45 - Предаване на данни въз основа на решение относно адекватното ниво на защита

1. Предаване на лични данни на трета държава или международна организация може да има, ако Комисията реши, че тази трета държава, територия или един или повече конкретни сектори в тази трета държава, или въпросната международна организация осигуряват адекватно ниво на защита. За такова предаване не се изисква специално разрешение.

2. При оценяване на адекватността на нивото на защита Комисията отчита по-специално следните елементи:  

a) върховенството на закона, спазването на правата на човека и основните свободи, съответното законодателство — както общо, така и секторно, включително в областта на обществената сигурност, отбраната, националната сигурност и наказателното право и достъпа на публичните органи до лични данни, а също и прилагането на такова законодателство, правилата за защита на данните, професионалните правила и мерките за сигурност, включително правилата за последващо предаване на лични данни на друга трета държава или международна организация, които се спазват в тази държава или международна организация, съдебната практика, както и действителните и приложими права на субектите на данни и ефективната административна и съдебна защита за субектите на данни, чиито лични данни се предават;

б) наличието и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава или на които се подчинява дадена международна организация, отговорни за осигуряване и прилагане на правилата за защита на данните, включително адекватни правомощия за прилагане, за подпомагане и консултиране на субектите на данни при упражняването на техните права и осъществяване на сътрудничество с надзорните органи на държавите членки; и

в) международните ангажименти, които съответната трета държава или международна организация е поела, или други задължения, произтичащи от правно обвързващи конвенции или инструменти, както и от участието ѝ в многостранни или регионални системи, по-конкретно по отношение на защитата на личните данни.

3. След оценка на адекватността на нивото на защита Комисията може чрез акт за изпълнение да реши, че дадена трета държава, територия или един или повече конкретни сектори в тази трета държава, или дадена международна организация осигуряват адекватно ниво на защита по смисъла на параграф 2 от настоящия член. В акта за изпълнение се предвижда механизъм за периодичен преглед най-малко веднъж на четири години, при който се отчитат всички имащи отношение промени в третата държава или международната организация. В акта за изпълнение се уточнява неговото териториално и секторно приложение и, ако е приложимо, се посочват надзорният орган или органи, посочени в параграф 2, буква б) от настоящия член. Актът за изпълнение се приема в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

4. Комисията осъществява постоянно наблюдение на развитието в трети държави и международни организации, което би могло да повлияе на действието на решенията, приети съгласно параграф 3 от настоящия член, и на решенията, приети въз основа на член 25, параграф 6 от Директива 95/46/ЕО.

5. Ако е налице съответната информация, по-специално след прегледа по параграф 3 от настоящия член, Комисията решава, че дадена трета държава, територия, или един или повече конкретни сектори в трета държава, или дадена международна организация е престанала да осигурява адекватно ниво на защита по смисъла на параграф 2 от настоящия член, при което Комисията в необходимата степен отменя, изменя или спира прилагането на решението по параграф 3 от настоящия член чрез акт за изпълнение без обратна сила. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2. При надлежно обосновани императивни причини по спешност Комисията незабавно приема приложими актове за изпълнение в съответствие с процедурата, посочена в член 93, параграф 3.

6. Комисията започва консултации с третата държава или международната организация с цел да коригира положението, довело до решението, взето по силата на параграф 5.

7. Решението по параграф 5 от настоящия член не засяга предаването на лични данни на третата държава, територия или един или повече конкретни сектори в тази трета държава, или на въпросната международна организация съгласно членове 46—49.

8. Комисията публикува в Официален вестник на Европейския съюз и на своя уебсайт списък на трети държави, територии и конкретни сектори в трета държава и международни организации, за които е решила, че осигуряват или че вече не осигуряват адекватно ниво на защита. по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 11/18

9. Решенията, приети от Комисията въз основа на член 25, параграф 6 от Директива 95/46/ЕО, остават в сила, докато не бъдат изменени, заменени или отменени с решение на Комисията, прието в съответствие с параграфи 3 или 5 от настоящия член.

Изложения 103-107 и 114, към Член 45

(103) Комисията може да реши, с действие по отношение на целия Съюз, че определени трети държави или територия или конкретен сектор в трета държава, или дадена международна организация предоставя адекватно ниво на защита на данните, като по този начин осигури правна сигурност и еднообразно прилагане навсякъде в Съюза по отношение на третата държава или международна организация, за които се смята, че предоставят такова ниво на защита. В тези случаи предаването на лични данни на такава трета държава или международна организация може да се извършва, без да е необходимо допълнително разрешение. Комисията може също така да реши да отмени такова решение, след като е отправила предизвестие и е предоставила пълна обосновка на третата държава или международната организация.

(104) В съответствие с основните ценности, въз основа на които е създаден Съюзът, по-специално защитата на правата на човека, в оценката си на третата държава или на територия или на конкретен сектор в третата държава, Комисията следва да вземе предвид как се зачитат в конкретната трета държава принципите на правовата държава, достъпът до правосъдие и международните норми и стандарти за правата на човека, както и нейното общо и секторно право, включително законодателството ѝ в областта на обществената сигурност, отбраната и националната сигурност, а също и общественият ред и наказателното право. При приемането на решение относно адекватното ниво на защита за територия или конкретен сектор в трета държава, следва да се вземат предвид ясни и обективни критерии, като например специфични дейности по обработване и обхватът на приложимите правни стандарти и на действащото законодателство в третата държава. Третата държава следва да предостави гаранции, които осигуряват адекватно ниво на защита, което по същество е равностойно на нивото, гарантирано в рамките на Съюза, по- специално когато личните данни се обработват в един или няколко конкретни сектора. Третата държава следва по- специално да осигури ефективен независим надзор в областта на защитата на данните и да предвиди механизми за сътрудничество с органи по защита на данните на държавите членки, а на субектите на данните следва да бъдат предоставени действителни и приложими права и ефективни средства за административна и съдебна защита.

(105) Освен международните ангажименти, които третата държава или международната организация е поела, Комисията следва да вземе предвид задълженията, произтичащи от участието на третата държава или международната организация в многостранни или регионални системи, по-специално по отношение на защитата на личните данни, както и изпълнението на тези задължения. По-специално следва да се вземе предвид присъединяването на третата държава към Конвенцията на Съвета на Европа от 28 януари 1981 г. за защита на лицата при автоматизираната обработка на лични данни и допълнителния протокол към нея. Комисията следва да провежда консултации с Комитета при оценяването на нивото на защита в трети държави или международни организации.

(106) Комисията следва да наблюдава изпълнението на решенията относно нивото на защита в дадена трета държава, територия или конкретен сектор в трета държава, или в международна организация, и да наблюдава изпълнението на решения, приети въз основа на член 25, параграф 6 или член 26, параграф 4 от Директива 95/46/ЕО. В решенията си относно адекватното ниво на защита Комисията следва да предвиди механизъм за периодичен преглед на тяхното изпълнение. Този периодичен преглед следва да се извършва в консултация с въпросната трета държава или международна организация и да отчита всички съответни развития в третата държава или международната организация. За целите на наблюдението и извършването на периодичните прегледи Комисията следва да вземе предвид становищата и констатациите на Европейския парламент и на Съвета, както и на други релевантни органи и източници. Комисията следва да направи оценка в рамките на разумен срок на изпълнението на посочените решения и да докладва на Европейския парламент и на Съвета за всякакви отнасящи се до тази оценка констатации на Комитета по смисъла на Регламент (ЕС) № 182/2011 на Европейския парламент и Съвета {Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите-членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13)}, съгласно установеното в настоящия регламент.

(107) Комисията може да приеме, че дадена трета държава или територия или конкретен сектор в трета държава, или дадена международна организация вече не осигурява адекватно ниво на защита на данните. В резултат на това предаването на лични данни на тази трета държава или международна организация следва да бъде забранено, докато не бъдат изпълнени изискванията по настоящия регламент относно предаването на данни с подходящи гаранции, включително задължителни фирмени правила и дерогации в особени случаи. В такъв случай следва да се предвиди провеждане на консултации между Комисията и такива трети държави или международни организации. Комисията следва своевременно да уведоми третата държава или международната организация за основанията и да започне консултации с нея с цел да намери решение на този проблем.

(114) Във всеки случай, когато Комисията не е взела решение относно адекватното ниво на защита на данните в трета държава, администраторът или обработващият данни следва да използва решения, които предоставят приложими и действителни права на субектите на данни по отношение на обработването на техните данни в Съюза след предаването на тези данни, така че те да продължат да се ползват от основните права и гаранциите.

Член 46 - Предаване на данни с подходящи гаранции

1. При липса на решение съгласно член 45, параграф 3, администраторът или обработващият лични данни може да предава лични данни на трета държава или международна организация само ако е предвидил подходящи гаранции и при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита.

2. Подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени, без да се изисква специално разрешение от надзорния орган, посредством:

а) инструмент със задължителен характер и с изпълнителна сила между публичните органи или структури;

б) задължителни фирмени правила в съответствие с член 47;

в) стандартни клаузи за защита на данните, приети от Комисията в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2;

г) стандартни клаузи за защита на данните, приети от надзорен орган и одобрени от Комисията съгласно процедурата по разглеждане, посочена в член 93, параграф 2;

д) одобрен кодекс за поведение съгласно член 40, заедно със задължителни ангажименти с изпълнителна сила на администратора или обработващия лични данни в третата държава да прилагат подходящите гаранции, включително по отношение на правата на субектите на данни; или

е) одобрен механизъм за сертифициране съгласно член 42, заедно със задължителни и изпълними ангажименти на администратора или обработващия лични данни в третата държава да прилагат подходящите гаранции, включително по отношение на правата на субектите на данни.

3. При условие че компетентният надзорен орган е дал разрешение, подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени по-специално и посредством:

a) договорни клаузи между администратора или обработващия лични данни и администратора, обработващия лични данни или получателя на личните данни в третата държава или международната организация; или

б) разпоредби, които да се включват в административните договорености между публичните органи или структури, съдържащи действителни и приложими права на субектите на данни.

4. Надзорният орган прилага механизма за съгласуваност по член 63 в случаите, посочени в параграф 3 от настоящия член.

5. Разрешенията, издадени от държава членка или надзорен орган въз основа на член 26, параграф 2 от Директива 95/46/ЕО, остават валидни, докато не бъдат изменени, заменени или отменени, ако е необходимо, от надзорния орган. Решенията, приети от Комисията въз основа на член 26, параграф 4 от Директива 95/46/ЕО, остават в сила, докато не бъдат изменени, заменени или отменени, ако е необходимо, с решение на Комисията, прието в съответствие с параграф 2 от настоящия член.

Изложения 108-109, към Член 46

(108) При липсата на решение относно адекватното ниво на защита администраторът или обработващият лични данни следва да предприеме мерки, за да компенсира липсата на защита на данни в дадена трета държава чрез подходящи гаранции за субекта на данните. Такива подходящи гаранции може да се състоят в използването на задължителни фирмени правила, стандартни клаузи за защита на данните, приети от Комисията, стандартни клаузи за защита на данните, приети от надзорен орган, или договорни клаузи, разрешени от надзорен орган. Тези гаранции следва да осигуряват спазването на изискванията относно защитата на данните и на правата на субектите на данни, подходящи при обработване в рамките на Съюза, включително наличието на приложими права на субектите на данни и на ефективни средства за правна защита, включително с цел получаване на ефективна административна или съдебна защита и предявяване на искове за обезщетение в Съюза или в трета държава. Те следва да се отнасят по-специално до спазването на общите принципи, свързани с обработването на лични данни, и до принципите за защита на данните на етапа на изготвяне и по подразбиране. Данни може да се предават и от публични органи или организации на публични органи или организации в трети държави или на международни организации със съответните задължения или функции, включително въз основа на разпоредбите, които ще бъдат включени в административните договорености, като например меморандум за разбирателство, с които да се предоставят приложими и действителни права за субектите на данни. Следва да се получи разрешение от компетентния надзорен орган, когато гаранциите са предвидени в административни договорености, които нямат задължителен характер.

(109) Възможността администраторът или обработващият лични данни да използва стандартни клаузи за защита на данните, приети от Комисията или от надзорен орган, не следва да възпрепятства администраторите или обработващите лични данни да включат стандартни клаузи за защита на данните в договор с по-голям обхват, като договор между обработващия лични данни и друг обработващ лични данни, нито да добавят други клаузи или допълнителни гаранции, при условие че същите не противоречат пряко или косвено на стандартните договорни клаузи, приети от Комисията или от надзорен орган, нито засягат основните права или свободи на субектите на данни. Администраторите и обработващите лични данни следва да бъдат насърчавани да предоставят допълнителни гаранции чрез договорни ангажименти, които допълват стандартните клаузи за защита.

Член 47 - Задължителни фирмени правила

1. Компетентният надзорен орган одобрява задължителни фирмени правила в съответствие с механизма за съгласуваност, определен в член 63, ако те:

a) са със задължителен характер, прилагат се спрямо и се привеждат в изпълнение от всеки съответен член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, включително техните служители;

б) изрично предоставят на субектите на данни приложими права по отношение на обработването на техните лични данни; и

в) изпълняват изискванията, установени в параграф 2.

2. В посочените в параграф 1 задължителни фирмени правила се уточнява най-малко следното:

a) структурата и координатите за връзка на групата предприятия или групата дружества, участващи в съвместна стопанска дейност и на всеки техен член;

б) предаването или съвкупността от предавания на данни, включително категориите лични данни, видът на обработването и неговите цели, видът на засегнатите субекти на данни, и се посочва въпросната трета държава или държави; 

в) тяхното правно обвързващо естество както на вътрешно, така и на външно равнище;

г) прилагането на общите принципи за защита на данните, по-специално ограничението на целите, свеждането на данните до минимум, ограничените периоди на съхранение, качеството на данните, защитата на данните на етапа на проектирането и по подразбиране, правното основание за обработването, обработването на специални категории лични данни, мерките за гарантиране сигурността на данните, както и изискванията по отношение на последващото предаване на данни на образувания, които не са обвързани от задължителните фирмени правила;

д) правата на субектите на данни по отношение на обработването и средствата за упражняване на тези права, включително правото на субекта на данни да не бъде обект на решения, основани единствено на автоматизирано обработване, включително профилиране в съответствие с член 22, правото на подаване на жалба до компетентния надзорен орган и до компетентните съдилища на държавите членки в съответствие с член 79, както и правото на съдебна защита, и когато е приложимо — на обезщетение за нарушаване на задължителните фирмени правила;

е) поемането от администратора или обработващия лични данни, установен на територията на държава членка, на отговорност за всяко нарушение на задължителните фирмени правила от който и да е член на съответната група, който не е установен в Съюза; администраторът или обработващият лични данни е изцяло или частично освободен от такава отговорност само ако докаже, че този член не носи отговорност за събитието, довело до причиняването на вреда;

ж) начинът, по който информацията относно задължителните фирмени правила, по-специално относно разпоредбите, посочени в букви г), д) и е) от настоящия параграф, се предоставя на субектите на данни в допълнение към информацията по членове 13 и 14;

з) задачите на всяко длъжностно лице за защита на данните, определено в съответствие с член 37, или всяко друго лице или образувание, натоварено да наблюдава спазването на задължителните фирмени правила в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, както и да наблюдава обучението и разглеждането на жалбите;

и) процедурите по отношение на жалбите;

й) механизмите в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност за осигуряване на проверка на спазването на задължителните фирмени правила. Тези механизми включват одити на защитата на данните и методи за осигуряване на коригиращи действия за защита на правата на субекта на данни. Резултатите от тази проверка следва да се съобщават на лицето или образуванието, посочено в буква з), и на управителния съвет на контролиращото предприятие на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, и следва при поискване да се предоставят на компетентния надзорен орган;

к) механизмите за докладване и записване на промени в правилата и докладването на надзорния орган за тези промени;

л) механизмът за сътрудничество с надзорния орган с цел осигуряване на спазването на правилата от всеки член на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, по-специално чрез предоставяне на надзорния орган на резултатите от проверките на мерките, посочени в буква й);

м) механизмите за докладване на компетентния надзорен орган за всякакви правни изисквания, приложими към член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, в трета държава, които е вероятно да доведат до значими неблагоприятни последици за гаранциите, предоставяни от задължителните фирмени правила; както и

н) подходящото обучение за защита на данните за персонала, който постоянно или редовно има достъп до лични данни.

3. Комисията може да определя формáта и процедурите за обмена на информация между администраторите, обработващите лични данни и надзорните органи относно задължителните фирмени правила по смисъла на настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Изложение 110, към Член 47

(110) Дадена група предприятия или група дружества, участващи в съвместна стопанска дейност, следва да може да използва одобрени задължителни фирмени правила за своите международни предавания на данни от Съюза до организации в същата група предприятия или група дружества, участващи в съвместна стопанска дейност, при условие че такива фирмени правила включват всички основни принципи и приложими права, за да се осигурят подходящи гаранции за предаването или категориите предавания на лични данни.

Член 48 - Предаване или разкриване на данни, което не е разрешено от правото на Съюза

Всяко решение на съд или трибунал и всяко решение на административен орган на трета държава, с което от администратор или обработващ лични данни се изисква да предаде или разкрие лични данни, могат да бъдат признати или да подлежат на изпълнение по какъвто и да било начин само ако се основават на международно споразумение, като договор за правна взаимопомощ, което е в сила между третата държава, отправила искането, и Съюза или негова държава членка, без да се засягат другите основания за предаване на данни съгласно настоящата глава.

Изложение 115, към Член 48

(115) Някои трети държави приемат закони, подзаконови и други правни актове, които имат за цел пряко да регулират дейностите по обработване на данни на физически и юридически лица под юрисдикцията на държавите членки. Това може да включва решения на съдилища или трибунали или решения на административни органи в трети държави, с които от администратора или обработващия лични данни се изисква да предаде или да разкрие лични данни, и които не се основават на международно споразумение, например договор за правна взаимопомощ, което е в сила между третата държава, отправила искането, и Съюза или негова държава членка. Извънтериториалното прилагане на тези закони, подзаконови и други правни актове може да бъде в нарушение на международното право и да възпрепятства осигуряването на защитата на физическите лица, гарантирана в Съюза с настоящия регламент. Предаванията на данни следва да са разрешени само когато са изпълнени условията на настоящия регламент относно предаването на данни на трети държави. Такъв може да бъде случаят, inter alia, когато разкриването е необходимо поради важно основание от обществен интерес, признато в правото на Съюза или в правото на държава членка, на което е подчинен администраторът.

Член 49 - Дерогации (частични отмени) в особени случаи

1. При липса на решение относно адекватното ниво на защита съгласно член 45, параграф 3 или на подходящи гаранции съгласно член 46, включително задължителни фирмени правила, предаване или съвкупност от предавания на лични данни на трета държава или международна организация се извършва само при едно от следните условия:

a) субектът на данните изрично е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за свързаните с предаването възможни рискове за субекта на данните поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции;

б) предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;

в) предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице; 

г) предаването е необходимо поради важни причини от обществен интерес;

д) предаването е необходимо за установяването, упражняването или защитата на правни претенции;

е) предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

ж) предаването се извършва от регистър, която съгласно правото на Съюза или правото на държавите членки е предназначена да предоставя информация на обществеността и е достъпна за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, но само доколкото условията за справка, установени в правото на Съюза или правото на държавите членки, са изпълнени в конкретния случай.

Когато предаването не може да се основава на разпоредба на членове 45 или 46, включително разпоредби относно задължителни фирмени правила, и не е приложима нито една от дерогациите в особени случаи, посочени в първата алинея на настоящия параграф, предаването на данни на трета държава или международна организация може да се извършва само ако предаването не е повторяемо, засяга само ограничен брой субекти на данни, необходимо е за целите на неоспоримите законни интереси, преследвани от администратора, над които не стоят интересите или правата и свободите на субекта на данни и администраторът е оценил всички обстоятелства, свързани с предаването на данните, и въз основа на тази оценка е предоставил подходящи гаранции във връзка със защитата на личните данни. Администраторът уведомява надзорния орган за предаването на данни. В допълнение към предоставянето на информацията, посочена в членове 13 и 14, администраторът информира субекта на данни за предаването, както и за преследваните неоспоримите законни интереси.

2. Предаването съгласно параграф 1, първа алинея, буква ж) не трябва да включва всички лични данни или всички категории лични данни, съдържащи се в регистъра. Когато регистърът е предназначен за справка от лица, които имат законен интерес, предаването се извършва единствено по искане на тези лица или ако те са получателите.

3. Параграф 1, първа алинея, букви а), б) и в) и параграф 1, втора алинея не се прилагат за дейности, извършвани от публичните органи при упражняването на техните публични правомощия.

4. Общественият интерес, посочен в параграф 1, първа алинея, буква г) се признава в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора.

5. При липсата на решение относно адекватното ниво на защита, правото на Съюза или правото на държава членка може, по важни причини от обществен интерес, изрично да определи ограничения за предаването на специални категории данни на трета държава или международна организация. Държавите членки съобщават тези разпоредби на Комисията.

6. Администраторът или обработващият лични данни документира оценката, както и подходящите гаранции по параграф 1, втора алинея от настоящия член в регистрите, посочени в член 30.

Изложения 111-113, към Член 49

(111) Следва да се предвиди възможността да се предават данни при определени обстоятелства, когато субектът на данните е дал изричното си съгласие, когато предаването засяга отделни случаи и е необходимо във връзка с договор или правна претенция, независимо от това дали е в рамките на съдебна, административна или друга извънсъдебна процедура, включително процедура пред регулаторни органи. Следва да се предвиди и възможността да се предават данни, когато това се налага поради важни съображения от обществен интерес, предвидени в правото на Съюза или правото на държава членка, или когато предаването се извършва от регистър, създаден със закон и предназначен за справки от обществеността или от лица, които имат законен интерес. В този случай предаването не следва да включва всички лични данни или цели категории данни, съдържащи се в регистъра, а когато регистърът е предназначен за справка от лица, които имат законен интерес, предаването следва да се извършва единствено по искане на тези лица или ако те са получателите, като се вземат изцяло под внимание интересите и основните права на субекта на данните.

(112) Тези дерогации следва да се прилагат по-специално за предаванията на данни, които се изискват и са необходими по важни причини от обществен интерес, например при международен обмен на данни между органи по защита на конкуренцията, данъчни или митнически власти, органи за финансов надзор, между служби, компетентни по въпросите на социалната сигурност или общественото здраве, например в случай на проследяване на контакти при заразни болести или с цел намаляване и/или премахване на употребата на допинг в спорта. Предаването на лични данни следва също да се разглежда като законосъобразно, когато е необходимо за защитата на интерес от съществено значение за жизненоважни интереси на субекта на данни или на друго лице, включително физическата неприкосновеност или живота, ако субектът на данните не е в състояние да даде съгласие. При липсата на решение относно адекватното ниво на защита, правото на Съюза или правото на държава членка може, по важни причини от обществен интерес, изрично да определи ограничения за предаването на специални категории от данни на трета държава или международна организация. Държавите членки следва да съобщават тези разпоредби на Комисията. Всяко предаване на международна хуманитарна организация на лични данни на субект на данни, който е физически или юридически неспособен да даде своето съгласие, с оглед на изпълнението на задължение по силата на Женевските конвенции, или прилагането на международното хуманитарно право, приложимо в условията на военни конфликти, може да се счита за необходимо поради важна причина от обществен интерес или защото е от жизненоважен интерес за субекта на данни.

(113) Предаване на данни, което може да се окачестви като неповтарящо се и засягащо само ограничен брой субекти на данни, също може да бъде възможно за целите на неоспоримите законни интереси на администратора, когато пред тези интереси нямат преимущество интересите или правата и свободите на субекта на данни и когато администраторът е оценил всички обстоятелства около предаването на данните. Администраторът следва да обръща специално внимание на естеството на личните данни, целта и продължителността на предлаганата операция или операции по обработването им, както и на положението в държавата на произход, третата държава и държавата на крайното местоназначение на данните и следва да осигури подходящи гаранции за защита на основните права и свободи на физическите лица при обработването на техните лични данни. Такова предаване на данни следва да бъде възможно само в остатъчни случаи, при които не е приложимо нито едно от останалите основания за предаване. За целите на научни или исторически изследвания или за статистически цели следва да се вземат предвид основателните очаквания на обществото за повишаване на познанието. Администраторът следва да уведомява надзорния орган и субекта на данните за предаването на данни.

Член 50 - Международно сътрудничество за защита на личните данни

По отношение на трети държави и международни организации Комисията и надзорните органи предприемат подходящи стъпки за:

a) разработване на механизми за международно сътрудничество с цел подпомагане ефективното прилагане на законодателството за защита на личните данни;

б) осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация, при условие че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;

в) включване на съответните заинтересовани страни в обсъждания и дейности, насочени към насърчаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;

г) насърчаване на обмена и документирането на законодателството и практиките в областта на защитата на личните данни, включително относно спорове за компетентност с трети държави. 

Изложение 116, към Член 50

(116) Трансграничното движение на лични данни извън Съюза може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, по-специално да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време надзорните органи могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън техните граници. Техните усилия за сътрудничество в трансграничния контекст могат да бъдат възпрепятствани и от недостатъчни правомощия за предотвратяване или защита, различаващи се правни режими, както и от практически пречки като ограничения на ресурсите. Ето защо е необходимо да се насърчава по-тясното сътрудничество между надзорните органи по защита на данните, за им се помогне да обменят информация и да извършват разследвания съвместно със своите международни партньори. За целите на разработването на механизми за международно сътрудничество, улесняващи и осигуряващи международна взаимопомощ при прилагането на законодателство за защита на личните данни, Комисията и надзорните органи следва да обменят информация и да си сътрудничат в дейностите по упражняването на техните правомощия с компетентните органи в трети държави на реципрочна основа и в съответствие с настоящия регламент.

Въздействие

 Прегледайте потоците си данни извън Европейската Икономическа Зона и преценете дали механизмите, които използвате остават подходящи.

 Разгледайте дали Обвързващи корпоративни правила (BCRs) са подходящи за вътрешногрупови прехвърляния на данни или трансфери в рамките на група от предприятия, ангажирани в съвместна икономическа дейност. Ако вече имате такива правила, те ще трябва да бъдат актуализирани. Обмислете времето за този процес и за други въздействия (напр. Brexit).